Stand: Juli 2026
ChatGPT & DSGVO

ChatGPT und DSGVO: Datenschutz-Guide für Unternehmen

Darf dein Team ChatGPT nutzen? Ja, aber nicht so, wie es die meisten tun. Dieser Guide zeigt, wo die Daten wirklich landen, welcher Plan welchen Schutz bietet und was DSGVO und EU AI Act konkret von dir verlangen.

Startseite / ChatGPT / Datenschutz

TL;DR: ChatGPT lässt sich DSGVO-konform einsetzen, wenn du vier Dinge regelst: den richtigen Plan wählen (Business aufwärts), den AVV abschließen, Trainings- und Memory-Einstellungen prüfen und dem Team klare Datenregeln geben. Die private Plus-Lizenz eines Mitarbeiters mit Kundendaten ist dagegen ein reales Compliance-Risiko, und genau so wird ChatGPT in vielen Firmen heute genutzt.

Einordnung

Ist ChatGPT DSGVO-konform?

Die ehrliche Antwort: ChatGPT ist weder pauschal konform noch pauschal verboten. Es kommt auf Plan, Konfiguration und Nutzung an. Die deutsche Datenschutzkonferenz hat mit ihrer Orientierungshilfe zu KI und Datenschutz den Rahmen gesetzt, eine eigene Task Force prüft OpenAI seit Jahren, und Beschwerden wie die von noyb zu falschen Personenangaben zeigen, dass der regulatorische Druck bleibt.

Der Kern in einem Satz

DSGVO-konforme ChatGPT-Nutzung ist eine Frage des Setups: Geschäftsplan mit Trainingsausschluss und AVV plus interne Regeln, welche Daten hinein dürfen und welche nie.

Was Aufsichtsbehörden und Rechtspraxis übereinstimmend empfehlen: geschäftliche Nutzung nur über Business-, Enterprise- oder API-Zugang, Trainings-Opt-out aktiv halten, Datenminimierung, bei sensiblen Use Cases eine Datenschutz-Folgenabschätzung und Mitarbeiterschulung.

Training

Trainiert OpenAI mit deinen Daten?

Das ist der wichtigste Unterschied zwischen den Plänen, und er wird am häufigsten übersehen:

Plan Training auf deine Inhalte
Free / Go / Plus / Pro Standardmäßig ja, Opt-out in den Einstellungen möglich
Business Standardmäßig nein
Enterprise / Edu Standardmäßig nein
API Standardmäßig nein, seit März 2023

Praktisch heißt das: Jeder Mitarbeiter, der mit privatem Plus-Account Firmendaten verarbeitet, füttert im Zweifel das Modelltraining. Temporary Chats sind die Ausnahme, sie werden nicht fürs Training genutzt und innerhalb von 30 Tagen gelöscht. Für gelegentliche sensible Einzelfragen sind sie das richtige Werkzeug, für den Arbeitsalltag ist es der Geschäftsplan.

Datenstandort

Wo speichert OpenAI deine Daten?

Standardmäßig in den USA, auf Microsoft-Cloud-Infrastruktur als zentralem Unterauftragsverarbeiter. Seit 2025 bietet OpenAI Datenresidenz in mehreren Regionen an, darunter Europa. Die Einschränkungen musst du kennen:

EU-Datenresidenz gibt es für

  • ChatGPT Enterprise, über den Vertrieb einzurichten
  • ChatGPT Edu
  • Die API, pro Projekt wählbar

Nicht verfügbar für

  • Free, Go, Plus und Pro
  • Business, Stand Juli 2026

Wichtig für die Bewertung: Die Residenz-Zusage betrifft die gespeicherten Daten, also Konversationen, Dateien und Custom GPTs, verschlüsselt mit AES-256. Ob auch die Modellverarbeitung selbst in Europa läuft, ist gesondert mit OpenAI zu klären. Einen dedizierten deutschen Rechenzentrums-Standort gibt es nicht, Europa wird als Region behandelt.

Vertragliches

AVV, Zertifizierungen und Schlüsselverwaltung

Für die Auftragsverarbeitung bietet OpenAI ein Data Processing Addendum an, abschließbar für Business, Enterprise und die API. Damit ist die formale DSGVO-Grundlage nach Artikel 28 gelegt, die Liste der Unterauftragsverarbeiter ist öffentlich einsehbar.

Bei den Zertifizierungen ist OpenAI inzwischen breit aufgestellt: SOC 2 Type II für API, Enterprise, Edu und Business, dazu ISO/IEC 27001, 27017, 27018 und 27701 sowie ISO/IEC 42001 für das KI-Managementsystem. Enterprise-Kunden können seit Ende 2025 zusätzlich eigene Verschlüsselungsschlüssel einsetzen, per AWS KMS, Google Cloud KMS oder Azure Key Vault.

Einordnung: Auf dem Papier ist das Enterprise-Angebot von OpenAI compliance-technisch konkurrenzfähig. Der Unterschied zur Praxis entsteht fast immer auf Kundenseite: fehlender AVV, falscher Plan, keine Datenregeln. Wie Anthropic dieselben Fragen löst, liest du im Claude-Datenschutz-Guide.

Aufbewahrung

Wie lange speichert OpenAI Chats, und was ist mit dem NYT-Verfahren?

Die Standardregeln: Gelöschte Chats und Temporary Chats werden innerhalb von 30 Tagen entfernt, API-Logs nach 30 Tagen gelöscht, mit Zero-Data-Retention-Option für qualifizierte API-Kunden. Enterprise-Workspaces können eigene Aufbewahrungsrichtlinien setzen.

Dazu kommt ein Sonderfall, den Unternehmen kennen sollten: Im Urheberrechtsverfahren der New York Times gegen OpenAI ordnete ein US-Gericht 2025 zeitweise an, auch eigentlich gelöschte Chats aufzubewahren. Die Anordnung wurde im Herbst 2025 für neue Konversationen wieder aufgehoben, und Konversationen aus dem EWR, der Schweiz und UK waren von der laufenden Aufbewahrung ausdrücklich ausgenommen. Ein begrenzter historischer Datenbestand bleibt für das Verfahren gesperrt, um dessen Herausgabe wird weiter gestritten.

Die Lehre daraus ist unabhängig vom Ausgang: Was nie ins Tool wandert, kann nie Gegenstand eines US-Verfahrens werden. Datenminimierung bleibt die wirksamste Schutzmaßnahme.

Memory

Memory und Personalisierung im EU-Raum

ChatGPT merkt sich Dinge, und genau deshalb ist Memory ein Datenschutzthema. Zwei Punkte sind für den EU-Raum relevant:

Erstens: Die automatische Chat-Verlaufs-Referenz, bei der ChatGPT Muster aus allen bisherigen Unterhaltungen zieht, ist für Nutzer im EWR, der Schweiz und UK bislang nicht freigeschaltet. Gespeicherte Erinnerungen funktionieren normal und lassen sich einzeln einsehen und löschen. Zweitens: In Business- und Enterprise-Workspaces können Owner Memory zentral abschalten, und Workspace-Daten fließen nicht ins Training.

Für die interne Richtlinie heißt das: Memory-Einstellungen gehören ins Onboarding. Wer mit Kundendaten arbeitet, sollte wissen, was das Tool sich merkt und wie man es kontrolliert. Die Funktionsdetails stehen im Funktionen-Guide.

Regulierung

Was bedeutet der EU AI Act für deine ChatGPT-Nutzung?

Die gute Nachricht zuerst: Die schweren Pflichten des AI Act treffen OpenAI als Modellanbieter, nicht dich als Anwender. OpenAI hat den GPAI Code of Practice der EU-Kommission mitgezeichnet, die vollen Durchsetzungsbefugnisse für Modellanbieter greifen ab August 2026.

Für nutzende Unternehmen bleiben drei konkrete Pflichten:

1

KI-Kompetenz sicherstellen (Art. 4)

Seit Februar 2025 verpflichtend für alle Unternehmen: Wer mit KI arbeitet, muss angemessen geschult sein. Das betrifft auch simple ChatGPT-Nutzung.

2

Transparenz bei Kunden-Chatbots (Art. 50)

Wenn du auf GPT-Basis einen kundenseitigen Chatbot betreibst, müssen Nutzer erkennen können, dass sie mit KI sprechen.

3

Hochrisiko-Einsatz prüfen (Art. 26)

Wer ChatGPT in Personalauswahl, Kreditvergabe oder ähnliche Prozesse einbettet, übernimmt Deployer-Pflichten. Reine interne Assistenz fällt in der Regel nicht darunter.

Die Schulungspflicht ist dabei kein Papiertiger, sondern der Hebel, der ohnehin ansteht: Ohne befähigte Mitarbeitende gibt es weder Compliance noch Produktivität. Den Gesamtrahmen für KMU habe ich im Beitrag EU AI Act Compliance im Mittelstand aufgeschrieben.

Praxis

Checkliste: ChatGPT DSGVO-konform einsetzen

Technisches Setup

  • Business- oder Enterprise-Plan statt privater Lizenzen
  • AVV mit OpenAI abschließen
  • Trainings- und Memory-Einstellungen prüfen und dokumentieren
  • Bei hohen Anforderungen: Enterprise mit EU-Datenresidenz
  • Connectors und Apps nur nach Freigabe aktivieren

Organisation

  • Datenklassen definieren: was darf rein, was nie
  • KI-Richtlinie schriftlich festhalten und kommunizieren
  • Mitarbeitende schulen, dokumentiert nach Art. 4 AI Act
  • Datenschutz-Folgenabschätzung bei sensiblen Use Cases
  • Verantwortlichkeit benennen: wer pflegt Setup und Regeln?

Wenn diese zehn Punkte stehen, ist ChatGPT kein Compliance-Risiko mehr, sondern ein normales, verwaltetes Arbeitswerkzeug. Die meisten Unternehmen scheitern nicht an der Technik, sondern daran, dass niemand die Verantwortung übernimmt.

Weiterführend

Was du als Nächstes lesen solltest

FAQ

Häufige Fragen zu ChatGPT und Datenschutz

Dürfen Mitarbeitende ChatGPT privat für Arbeit nutzen?

Davon rate ich ab. Private Accounts trainieren standardmäßig auf Eingaben und liegen außerhalb jeder Firmenkontrolle. Der Business-Plan löst das für 20 $ pro Kopf.

Reicht das Trainings-Opt-out im Plus-Account?

Für Privatnutzung ja, für Firmendaten nein. Es fehlen AVV, zentrale Verwaltung und Nachweisbarkeit.

Gibt es EU-Datenresidenz für den Business-Plan?

Nein, Stand Juli 2026 nur für Enterprise, Edu und die API. Business-Daten liegen in den USA, mit Trainingsausschluss und SOC-2-Abdeckung.

Was ist mit dem NYT-Gerichtsverfahren?

Die zeitweise Aufbewahrungsanordnung für neue Chats ist aufgehoben, EWR-Konversationen waren ausgenommen. Um einen historischen Datenbestand wird weiter gestritten.

Brauchen wir eine Datenschutz-Folgenabschätzung?

Bei der Verarbeitung sensibler personenbezogener Daten oder Hochrisiko-Einsatz ja. Für allgemeine Assistenz-Nutzung mit Datenregeln in der Regel nicht.

Fazit

Datenschutz ist kein Feature, sondern ein Prozess

OpenAI liefert die Bausteine: Trainingsausschluss, AVV, Zertifizierungen, Datenresidenz. Ob daraus DSGVO-konforme Nutzung wird, entscheidet sich in deinem Unternehmen: beim Plan, bei den Regeln und bei der Schulung. Genau diese drei Dinge setze ich mit Teams in Tagen auf, nicht in Monaten.

Du willst ChatGPT sauber aufsetzen, bevor die Schatten-Nutzung zum Problem wird?

Erstgespräch buchen
Compliance ohne Bremse

Ich helfe dir, ChatGPT DSGVO-konform in deinem Unternehmen aufzusetzen.

Plan-Auswahl, AVV, KI-Richtlinie und Team-Schulung. Pragmatisch umgesetzt statt juristisch zerredet.

Kostenfreies Erstgespräch buchen

30 Minuten · Unverbindlich · Per Video-Call

Erstgespräch buchen →